La presse, les pirates auteurs de virus, les éditeurs, les responsables sécurité… Shellshock, la faille bash, a fait réagir tout le monde, partout, en moins de 24 heures. Sauf, peut-être, les chasseurs de failles eux-mêmes.
La presse, tout d’abord, puisque 48 heures après les premières alertes, les journaux grand public (dont les quotidiens gratuits) se lancent dans des concours de superlatifs. Ce nouveau « bug du siècle » (du moins le bug du siècle du mois en cours), est-il oui ou non plus dangereux que Heartbleed ? Est-ce la fin de l’ère Internet ? Le monde Apple est-il devenu moins sûr ? S’il est intéressant de constater que les quotidiens prêtent une attention grandissante à la sécurité informatique (une bonne chose compte tenu de l’informatisation croissante des ménages) l’on peut regretter que la seule manière d’aborder la question se fasse sur le mode « DON’T PANIIIIIIIIC !!!! »
Les auteurs d’exploits n’ont pas traînés non plus. La première preuve d’exploitation dans la nature a été détectée quelques heures à peine après la révélation publique de la faille. Les exploitations les plus probables, ainsi l’explique Jen Ellis de Rapid7, sont celles qui visent une application Web dont le CGI fait appel à bash.
En d’autres termes, la faille bash est intrinsèquement moins importante que la mauvaise pratique qui consiste à permettre à un processus externe (lié à Internet de surcroît) de pouvoir passer directement des paramètres au shell. Et c’est peut-être ce point que n’ont pas détecté les chasseurs de faille. Car des « trous vieux de 25 ans », il y en a probablement encore beaucoup dans le noyau Unix. Mais des trous accessibles aussi facilement par le biais d’une cohabitation vénéneuse, il n’en existe heureusement pas tant que ça. Reste que bien des auteurs de malwares se sont lancés, dans l’urgence, dans un scan massif d’Internet rapporte l’Australien IT News. Probablement histoire de répertorier les points de faiblesse qui pourront s’avérer exploitables dans un proche avenir. Signalons également ce « gentil » Poc signé TrustedSec qui utilise DHCP pour mieux converser avec le shell Bourne.
Les éditeurs de noyaux eux aussi ont immédiatement réagi, mais préviennent que le premier correctif n’est pas parfait (il porte d’ailleurs lui-même un numéro CVE-2014-7169 ). Red Hat, Apple, Ubuntu, Debian et tant d’autres ont immédiatement « poussé » une nouvelle version du shell.
Mais les systèmes d’exploitation pour serveurs ou ordinateurs personnels ne sont qu’une facette du problème. Des centaines de milliers d’appareils connectés (du routeur Wifi aux boîtiers multimédia en passant par ces mille et un « appliances » à base de Linux embarqué, seront vulnérables ad vitam aeternam. Soit par le truchement de l’attaque CGI via leur interface Web d’administration (si celle-ci est accessible à distance) soit, plus simplement, parce que l’appareil est ouvert aux quatre vents « by design », avec un port ssh ouvert associé à un mot de passe par défaut. Cela s’est souvent vu, particulièrement sur certains équipements « rootés ». Si ces objets de l’Internet ne contiennent pas nécessairement de grandes richesses en termes de contenu, ils peuvent toujours venir grossir les rangs d’un botnet.
Le navigateur Firefox et le client de messagerie Thunderbird doivent être « rustinés » dans l’urgence la plus absolue. Une faille ssl affecte les « Network Security Services » des logiciels et ouvrirait la voie à une possible attaque « man in the middle ». Le Cert US rappelle que ce trou NSS pourrait également affecter Chrome et d’autres distributions Linux.
L’actualité parfois n’a aucun rapport avec une fuite massive de données des serveurs d’une grande chaîne de distribution ou avec un super correctif logiciel sauvant l’informatique occidentale d’une horde de virus étrangers. Non. Les médias, la semaine passée, se sont enflammés pour deux énormes canulars. Le premier des deux, singeant le lettrage et les publicités Apple, dévoilait tout sur une nouvelle « technologie « Wave » propre au tout nouvel IOS8 : le chargement des batteries du téléphone par microonde ». Fausse réclame, faux accident déclarés par de faux crédules.
Le second attrape-nigaud a été lancé par un journal satirique connu, le National Report, un proche cousin du regretté National Lampoon, en plus « politiquement correct ». Selon ce noble organe de presse, Facebook envisagerait de facturer les pages de ses abonnés 3$ par Mo de données, et ce à partir du 1er novembre. Et l’auteur de l’article de recueillir les protestations indignées du groupe Chrétien anti-masturbatoire (sic). Là , en revanche, quelques âmes sensibles ont lu l’information au premier degré et se sont inquiétées, sur Twitter notamment.
Voilà qui n’est pas sans rappeler, en pleine bulle NTIC des années 2000, le lancement de Jesux, une distribution Linux christique qui souleva un raz de marée médiatique.
Dans tous ces cas, les techniques sont comparables : associer une notion plus ou moins technique avec un outil à la mode. Le dernier téléphone mobile et le chargement sans fil (qui, précisons au passage, ne pourrait en aucun cas dépendre d’IOS8, un logiciel, mais d’un capteur inductif, du matériel), ou un réseau social en vue et la notion de microfacturation, sorte de monstre du loch-ness qui apparaît à périodes régulières dans le monde internet.
Peut-on rire de la crédulité des personnes qui se seraient laissées prendre ? Pas plus que l’on ne peut s’amuser des victimes d’une campagne de phishing, laquelle exploite strictement les mêmes ficelles psychologiques. Pas plus que l’on ne peut se gausser des clients de services totalement utopiques. Ainsi les entreprises qui garantissent (moyennant facturation) un véritable anonymat sur Internet, ou ce tout nouveau service protégé par Tor, le routeur chiffré, que nous décrit Joseph Cox, de Motherboard. Une sorte de cyber-sécurité d’homme-mort qui garantit la publication sur Internet de tout document en cas de décès de son auteur-wanabe-snowden.
Qui se cache derrière un tel service ? Nul ne sait. Détail paradoxal pour un tiers de confiance. Quelles sont les infrastructures en place et les mécanismes de préservation de l’information ? Mystère. Ajoutons que le fait d’annoncer qu’une personne a confié à ce service des documents sensibles pourrait bien déclencher une sinistre chasse à l’homme histoire de précipiter la parution des révélations.